地址:联系地址联系地址联系地址
电话:020-123456789
传真:020-123456789
邮箱:admin@aa.com
序号
漏洞类别
(一级)
漏洞类别
(二级)
安全设计&开发
1
SQL注入
SQL注入
漏洞简介:
本质:构造畸形的安全输入 ,从而改变原查询语句的漏洞语义
原因 :系统后台对用户输入的参数未进行任何处理 ,直接代入SQL语句
漏洞危害:
数据库信息泄露、修复添加系统账号
、安全读写文件获取Webshell等
防御策略:
1 权限最小原则
使用最小权限原则,漏洞避免root等高级账号在Web应用中的修复直接使用;
所用账号不应分配建立、删除数据库/表的安全权限(create table/drop table)
,以及操作本地文件的漏洞权限;
2 严格过滤用户输入
严格审查包含select 、union 、修复delete、安全drop等SQL关键字的漏洞内容;
严格审查包含二进制数据 、转义序列和注释字符的修复输入内容;
使用Web语言
、数据库厂商提供的安全“安全函数”处理用户输入;
校验用户输入内容的大小和数据类型,强制执行适当的限制与转换;
3 使用预编译语句
Web应用程序使用预编译语句 ,绑定变量,漏洞是修复防范SQL注入的最佳方式
2
XSS漏洞
XSS漏洞
漏洞简介:
代码注入的一种。攻击者通过“HTML注入”的形式篡改了网页内容
、插入了恶意脚本 ,从而在用户浏览网页时 ,控制用户浏览器的一种攻击
。
漏洞危害:
窃取Cookie、XSS蠕虫
、DDoS(JavaScript脚本能执行的功能都涵盖)
防御策略:
1 Coookie设置Httponly属性:避免XSS窃取用户Cookie。(浏览器会禁止页面的JavaScript代码读取带有HttpOnly属性的Cookie)
2 输入检查: 检查用户输入的数据是否包含一些特殊字符 ,如: <、 >